Klepuch Opublikowano 22 Listopada 2010 Zgłoś Udostępnij Opublikowano 22 Listopada 2010 Mam problem z xrdygg.bat i nie tylko bo nie moge instalować gier i przeglądać co mam na dysku . Czytałem na forach i wszędzie było że mam założyć nowy temat i tam mam się dowiedzieć co i jak . Polecali ściągnięcie ComboFix ale nie włączanie go . Odnośnik do komentarza
Landuss Opublikowano 23 Listopada 2010 Zgłoś Udostępnij Opublikowano 23 Listopada 2010 O ComboFixie zapomnij. Wcale to nie jest konieczne. Masz infekcję z mediów przenośnych. Zgodnie z zasadami działu wykonaj i wklej logi z OTL + GMER oraz przy podpiętym urządzeniu przenośnym wykonaj log z USBFix z opcji Listing Odnośnik do komentarza
Klepuch Opublikowano 23 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2010 Nic kompletnie z tego nie rozumiem . Nie wiem jak wykonać i gdzie wkleić te logi . Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2010 Zgłoś Udostępnij Opublikowano 23 Listopada 2010 Nic kompletnie z tego nie rozumiem . Nie wiem jak wykonać i gdzie wkleić te logi . Jak to możliwe, że mając opisy z obrazkami co należy zrobić Ty nadal nie umiesz tego obsłużyć. Albo albo: nie wszedłeś wcale w podane przez Landussa linki, albo jesteś naprawdę trudnym przypadkiem (tu nawet super początkujący robią te logi!). Czy czytałeś: Instrukcja robienia loga z OTL: https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/ Instrukcja robienia loga z GMER: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/ Instrukcja robienia loga z USBFix (opcja Listing): https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/ A w poście jest funkcja Załączniki, która umożliwia dołączenie plików tekstowych..... . Odnośnik do komentarza
Klepuch Opublikowano 23 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2010 Mam te dwa logi a jak robie w aplikacji GMER to komputer albo sie zacina albo się resetuje . Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 23 Listopada 2010 Zgłoś Udostępnij Opublikowano 23 Listopada 2010 Masz w linku do Gmer narzędzie RootRepeal więc jego wypróbuj i dopiero przejdziemy do usuwania. Gdzie USBFix? Poza tym w OTL czy na pewno wszystkie sekcje są zaznaczone na "Użyj filtrowania"? Jakiś dziwny ten log. Zrób te logi porządnie. Odnośnik do komentarza
Klepuch Opublikowano 23 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2010 Jak włączam RootRepeal to wyskakuje error . A logi były zrobione tak jak było pokazana i napisane . Dodaje jeszcze raz zrobione od nowa logi . OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2010 Zgłoś Udostępnij Opublikowano 24 Listopada 2010 Landuss Log rzeczywiście dziwny, ale użył filtrowania, bo są w logu markery "(SafeList)". Klepuch Zabrakło jeszcze loga z USBFix z opcji Listing. Na razie daruję log z rootkit detekcji. Przejdziemy już do usuwania tej infekcji z dysku przenośnego (włączę też widoczność ukrytych plików), a przy okazji i wpisów nieszkodliwych ale oznaczonych jako "not found" (po niepełnych deinstalacjach programów). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives xrdygg.bat /alldrives [override] C:\WINDOWS\system32\EXPLORER.EXE [stopoverride] C:\WINDOWS\System32\kav321.dll C:\WINDOWS\System32\kav320.dll C:\WINDOWS\System32\gemizu.dll C:\WINDOWS\tasks\Install.job :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wsctf.exe"=- "EXPLORER.EXE"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 "Hidden"=dword:00000001 "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "5829:TCP"=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :OTL IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKCU..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe File not found O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przez opcję Wykonaj skrypt. Komputer będzie restartował i na koniec otrzymasz log z usuwania. Zachowaj go do wglądu. 2. Przejdź do Dodaj / Usuń programy i odinstaluj śmieciarski pasek narzędziowy DAEMON Tools Toolbar. 3. Następnie proszę o wygenerowanie logów: z OTL opcją Skanuj (tak jak w przewodniku obrazkowym), USBFix z opcji Listing. Masz także pokazać log powstały z usuwania w punkcie 1. Czyli w sumie prezentujesz trzy logi. . Odnośnik do komentarza
Klepuch Opublikowano 25 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 25 Listopada 2010 Troche to trwało ale mam ... Nie mogłem tego inaczej wkleić (to na dole) bo było napisane że nie mam takich uprawnień . All processes killed ========== FILES ========== Unable to create HKLM\Software\OldTimer Tools\OTL key. File move failed. C:\autorun.inf scheduled to be moved on reboot. E:\autorun.inf moved successfully. Unable to create HKLM\Software\OldTimer Tools\OTL key. File move failed. C:\xrdygg.bat scheduled to be moved on reboot. E:\xrdygg.bat moved successfully. C:\WINDOWS\system32\EXPLORER.EXE moved successfully. C:\WINDOWS\System32\kav321.dll moved successfully. C:\WINDOWS\System32\kav320.dll moved successfully. Unable to create HKLM\Software\OldTimer Tools\OTL key. File move failed. C:\WINDOWS\System32\gemizu.dll scheduled to be moved on reboot. Unable to create HKLM\Software\OldTimer Tools\OTL key. File move failed. C:\WINDOWS\tasks\Install.job scheduled to be moved on reboot. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully. Unable to set value : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E! Unable to set value : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\userinit.exe," /E! Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\wsctf.exe deleted successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\EXPLORER.EXE deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"SuperHidden"|dword:00000001 /E : value set successfully! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"Hidden"|dword:00000001 /E : value set successfully! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"ShowSuperHidden"|dword:00000001 /E : value set successfully! Unable to set value : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\\"CheckedValue"|dword:00000001 /E! Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\"5829:TCP" scheduled to be deleted on reboot. Unable to create HKLM\Software\OldTimer Tools\OTL key. Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ scheduled to be deleted on reboot. Unable to create HKLM\Software\OldTimer Tools\OTL key. ========== OTL ========== Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B} scheduled to be deleted on reboot. Unable to create HKLM\Software\OldTimer Tools\OTL key. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}\ not found. Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}\ scheduled to be deleted on reboot. Unable to create HKLM\Software\OldTimer Tools\OTL key. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}\ not found. Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} scheduled to be deleted on reboot. Unable to create HKLM\Software\OldTimer Tools\OTL key. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found. Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck scheduled to be deleted on reboot. Unable to create HKLM\Software\OldTimer Tools\OTL key. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Pando Media Booster deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\swg deleted successfully. Starting removal of ActiveX control {31435657-9980-0010-8000-00AA00389B71} Unable to create HKLM\Software\OldTimer Tools\OTL key. File move failed. C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf scheduled to be moved on reboot. Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}\ scheduled to be deleted on reboot. Unable to create HKLM\Software\OldTimer Tools\OTL key. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{31435657-9980-0010-8000-00AA00389B71}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User User: Gość User: Halinka ->Flash cache emptied: 49088 bytes User: LocalService User: NetworkService User: plum Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. ->Temporary Internet Files folder emptied: 33170 bytes User: Gość User: Halinka ->Temp folder emptied: 62397980 bytes ->Temporary Internet Files folder emptied: 51407556 bytes ->Java cache emptied: 0 bytes ->Opera cache emptied: 14220212 bytes ->Flash cache emptied: 0 bytes User: LocalService User: NetworkService User: plum %systemdrive% .tmp files removed: 0 bytes Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. %systemroot% .tmp files removed: 3226935 bytes Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. Unable to create HKLM\Software\OldTimer Tools\OTL key. %systemroot%\System32 .tmp files removed: 2431276 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 3996058 bytes Total Files Cleaned = 131,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 11242010_162621 OTL.Txt Extras.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 25 Listopada 2010 Zgłoś Udostępnij Opublikowano 25 Listopada 2010 Pierwszy raz coś takiego widzę, błędy typu "Unable to create HKLM\Software\OldTimer Tools\OTL key". W związku z tym niestety nie wszystkie trojany się usunęły (a na dodatek ujawniły się usługi), a to co pozostało natychmiast zaczęło działać. Poza tym, nie odinstalowałeś DAEMON Tools Toolbar (to jest śmieć adware i nie ma nic wspólnego z pracą głównego programu DAEMON Tools). W związku z nieudanym usuwaniem biorę mocniejsze narzędzie usuwania. Operacja będzie wymagała kosmetycznej poprawki w późniejszym czasie. 1. Uruchom BlitzBlank i w karcie Script wklej: DisableDriver: pdlnol xtyrbaeoo vzbwl DeleteFile: C:\WINDOWS\system32\gemizu.dll C:\WINDOWS\System32\kav320.dll C:\WINDOWS\System32\amvo.exe C:\autorun.inf C:\xrdygg.bat E:\autorun.inf E:\xrdygg.bat DeleteRegKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteRegValue: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\5829:TCP HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amva Klik w Execute Now. Zatwierdź restart komputera. 2. Po restarcie systemu, gdy już pomyślnie wejdziesz na Pulpit, odinstaluj DAEMON Tools Toolbar. 3. Do prezentacji następujące logi: Zawartość loga BlitzBlank. W opisie narzędzia jest gdzie on jest generowany. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs, a następnie klik w Skanuj (a nie Wykonaj skrypt!) Spróbuj także jeszcze raz uruchomić GMER, bo mam podejrzenie, że może być coś więcej ukrytego. . Odnośnik do komentarza
Klepuch Opublikowano 25 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 25 Listopada 2010 Gmer zrobie w sobote bo było napisane że to trwa nawet kilka godzin . Jak robie to w BlitzBlank to wyskakuje error : Syntax error in line 6, Invalid file path I mam logi z OTL : OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 25 Listopada 2010 Zgłoś Udostępnij Opublikowano 25 Listopada 2010 Błąd Blitzblank - nie wiem z jakiej racji, co mu się nie podoba w ścieżce. Logi z OTL - infekcja niezmiennie czynna, bo też i BlitzBlank nic nie robił. Także widzę bez zmian z DAEMON Tools Toolbar - czy Ty w ogóle podjąłeś się jakiejś deinstalacji / widzisz ten wpis w Dodaj / Usuń (bo wg Extras jest jak najbardziej)? Poza tym, widzę że te pierwsze logi a podawane teraz pochodzą z dwóch różnych kont użytkownika (halinka + plum). Czy masz tu jakiś problem z kontami, że zmieniasz kontekst uruchomienia narzędzi? Tylko pytam, bo logi z osobnych kont są istotne, mają różne wpisy HKEY_CURRENT_USER, które należy czyścić z osobna. 1. Uruchom Avenger i w pustym polu wklej: Drivers to delete: pdlnol xtyrbaeoo vzbwl Files to delete: C:\WINDOWS\system32\gemizu.dll C:\WINDOWS\System32\kav320.dll C:\WINDOWS\System32\amvo.exe C:\autorun.inf C:\xrdygg.bat E:\autorun.inf E:\xrdygg.bat Wciśnij przycisk Execute. Zatwierdź restart systemu. Po restarcie pojawi się log z tego usuwania. Zachowaj go. 2. Następnie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "5829:TCP"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL NetSvcs: pdlnol - C:\WINDOWS\system32\gemizu.dll () O4 - HKCU..\Run: [amva] C:\WINDOWS\system32\amvo.exe () O4 - HKCU..\Run: [ares] C:\Program Files\Ares\Ares.exe File not found O4 - HKCU..\Run: [iGoD] C:\Documents and Settings\plum\Pulpit\iGoDr014.exe File not found O4 - HKCU..\Run: [Twoje TVN24] E:\TVN24\Pasek TVN24\tvn-ustawienia.exe File not found O4 - HKLM..\RunOnce: [] File not found IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found SRV - File not found [Auto | Stopped] -- E:\AntyVirus\MKS\bin\mks_services.exe -- (mks_services) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT) Klik w Wykonaj skrypt. Nie będzie restartu. Wynikowy log zachowaj. 3. Po raz kolejny mówię, odinstaluj śmiecia adware DAEMON Tools Toolbar. I dopiero po tej deinstalacji: 4. Wytwarzasz nowy log z OTL opcją Skanuj. Dołączasz log powstały z usuwania Avenger w punkcie 1 + log powstały z usuwania OTL w punkcie 2. Oczekuję także na log z GMER. . Odnośnik do komentarza
Klepuch Opublikowano 6 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2010 (edytowane) Przepraszam że nie odzywałem się przez długi czas ale nie miałem dostępu do komputera . Dalszy ciąg tych działań nie jest potrzebny bo na święta dostaje nowy komputer . Edytowane 6 Grudnia 2010 przez picasso W takim wypadku temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi